Ordonnance
sur le système de traitement pour la surveillance
de la correspondance par poste et télécommunication
(OST-SCPT)
du 15 novembre 2017 (Etat le 1 mars 2018)er
Le Conseil fédéral suisse,
vu les art. 10, al. 4, 11, al. 6, et 12, al. 2, de la loi fédérale du 18 mars 2016
sur la surveillance de la correspondance par poste et télécommunication (LSCPT)1,
arrête:
1 RS 780.1
Section 1 Dispositions générales
Art. 1 Objet
La présente ordonnance règle l’exploitation et l’utilisation du système de traitement du Service Surveillance de la correspondance par poste et télécommunication (Service SCPT).
Art. 2 Réseau de transmission des données
1 Les fournisseurs de services de télécommunication (FST), à l’exception de ceux qui ont des obligations restreintes en matière de surveillance, et les fournisseurs de services de communication dérivés ayant des obligations étendues en matière de fourniture de renseignements et de surveillance exploitent avec le Service SCPT un réseau destiné à transmettre au système de traitement les renseignements et les données issues des surveillances (réseau de transmission).
2 Le réseau de transmission permet aussi d’échanger les demandes de renseignements et les mandats de surveillance, ainsi que des informations sur leur exécution.
3 Le Département fédéral de justice et police édicte des prescriptions techniques et administratives applicables au réseau de transmission.
Section 2 Données et traitement des données
Art. 3 Données
1 Le système de traitement contient les données suivantes:
- a.
- les renseignements et les données issues des surveillances transmis par les personnes obligées de collaborer;
- b.
- les données selon la let. a préparées pour être exploitées;
- c.
- les demandes de renseignements et les ordres de surveillance transmis par les autorités habilitées;
- d.
- les caractéristiques de traitement ajoutées par les autorités qui exploitent les données;
- e.
- des données sur l’exécution et le suivi des affaires, y compris les données sur l’assurance de la qualité, les données de test, les statistiques et la comptabilité;
- f.
- des données permettant de présenter plus simplement et de filtrer les données selon les let. a et b;
- g.
- des clés cryptographiques.
2 Peuvent être traitées dans le système:
- a.
- des données concernant des renseignements (chap. 3, sections 4 à 6, de l’ordonnance du 15 novembre 2017 sur la surveillance de la correspondance par poste et télécommunication [OSCPT]2);
- b.
- des données de surveillances en temps réel (chap. 3, sections 8, 9 et 11, OSCPT);
- c.
- des données de surveillances rétroactives (chap. 3, sections 10 et 11, OSCPT);
- d.
- des données sur l’exécution et le suivi des affaires du Service SCPT (art. 6).
Art. 4 Origine des données
1 Les données enregistrées dans le système de traitement proviennent:
- a.
- des autorités qui ont ordonné une surveillance ou des autorités désignées par celles-ci, des autorités qui ont autorisé une surveillance et des autres autorités associées à la procédure;
- b.
- des personnes obligées de collaborer;
- c.
- du Service SCPT;
- d.
- de bases de données pour la vérification des ressources d’adressage;
- e.
- des fournisseurs d’informations géographiques et de matériel cartographique.
2 Les autorités ne peuvent compléter les données issues de surveillances que par l’ajout de caractéristiques de traitement selon l’art. 3, al. 1, let. d, et par l’ajout de clés cryptographiques selon l’art. 3, a. 1, let. g; une importation plus étendue de données d’enquête n’est pas admise.
Art. 5 Fonctions de traitement des renseignements et des données issues de surveillances
1 Les fonctions suivantes peuvent être utilisées pour traiter les renseignements et les données issues de surveillances:
- a.
- écoute simultanée ou écoute différée;
- b.
- affichage et impression;
- c.
- localisation et représentation sur une carte;
- d.
- décodage et déchiffrage;
- e.
- regroupement;
- f.
- recherche et filtrage;
- g.
- attribution d’un enregistrement vocal à une voix déjà enregistrée dans le système;
- h.
- transcription;
- i.
- commentaire;
- j.
- déclenchement d’une alerte lorsque surviennent certains événements tels que l’approche géographique d’un point donné ou un processus de communication;
- k.
- transmission sécurisée aux personnes autorisées;
- l.
- effacement.
2 Les fonctions ne s’appliquent qu’aux données auxquelles la personne qui les exécute a accès.
Art. 6 Traitement des données pour l’exécution et le suivi des affaires
Le Service SCPT traite les données suivantes pour l’exécution et le suivi des affaires:
- a.
- les coordonnées des autorités qui ont ordonné une surveillance et des autorités désignées par celles-ci, des autorités qui ont autorisé une surveillance et des autres autorités associées à la procédure, ainsi que des personnes désignées par celles-ci;
- b.
- pour autant que ces informations soient connues: les nom, prénom, date de naissance, adresse et profession de la personne à surveiller et de son conseil juridique;
- c.
- le motif de la demande de renseignements ou de la surveillance, en particulier l’indication des articles réprimant les infractions que la mesure doit permettre d’élucider;
- d.
- les types de renseignements demandés et de surveillances ordonnées;
- e.
- des communications écrites ou orales ainsi que les conversations téléphoniques enregistrées selon l’art. 8 OSCPT3;
- f.
- des décisions des autorités, telles qu’ordres de surveillance, autorisations et prolongations, des décisions relatives à des sanctions administratives ou pénales, ainsi que des décisions sur recours;
- g.
- les données mentionnées aux art. 15, let. h à k, et 49, al. 1, let. h à l, et 2, OSCPT;
- h.
- le numéro de référence et le nom de l’affaire à laquelle se rapportent les renseignements et les surveillances;
- i.
- les coordonnées des personnes obligées de collaborer ainsi que des personnes physiques que celles-ci ont désignées comme interlocuteurs;
- j.
- des données sur les personnes obligées de collaborer, notamment concernant la disponibilité à renseigner et à surveiller;
- k.
- les ressources d’adressage et les identifiants disponibles;
- l.
- d’autres données de nature technique;
- m.
- les données sur la perception des émoluments et le versement des indemnités.
Art. 7 Droit d’accès au système de traitement
1 Le Service SCPT crée, sur demande transmise au moyen du formulaire à cet effet, des comptes d’utilisateurs personnels pour permettre aux groupes de personnes suivants d’accéder au système, pour autant que ces accès soient nécessaires à l’exécution de leurs tâches:
- a.
- collaborateurs des autorités;
- b.
- collaborateurs des personnes obligées de collaborer;
- c.
- collaborateurs du Service SCPT;
- d.
- personnes auxquelles le Service SCPT a confié des tâches de maintenance, d’exploitation ou de programmation.
2 Il peut, sur ordre de la personne compétente, habiliter des collaborateurs des autorités mentionnées à l’art. 9, al. 1 à 3, LSCPT à octroyer des accès pour autant que cela soit nécessaire à l’exécution de leurs tâches. Lorsqu’ils octroient un accès, ces collaborateurs demeurent responsables de l’utilisation qui en est faite et documentent l’octroi de manière à ce qu’il puisse être retracé.
3 Le Service SCPT vérifie périodiquement que les conditions d’octroi des droits d’accès sont toujours remplies.
4 Les droits d’accès au système de traitement sont réglés dans l’annexe. Le Service SCPT les précise dans un règlement de traitement (art. 21 de l’ordonnance du 14 juin 1993 sur la protection des données4).
Art. 8 Droit d’accès aux données des surveillances
1 L’ordre de surveillance indique au Service SCPT quels collaborateurs des autorités mentionnées à l’art. 9, al. 1 à 3, LSCPT ont accès aux données de quelles surveillances. Après l’authentification, une procédure d’appel leur permet d’accéder aux données issues des surveillances prévues dans l’ordre.
2 Les personnes concernées par l’art. 279 du code de procédure pénale5, ou l’art. 70jde la procédure militaire du 23 mars 19796, par l’art. 33 de la loi fédérale du 25 septembre 2015 sur le renseignement7, par les art. 35 et 36 LSCPT et par la loi fédérale du 19 juin 1992 sur la protection des données8, ainsi que leurs conseils juridiques peuvent déposer auprès de l’autorité compétente en vertu de l’art. 10, al. 1 à 3, LSCPT une demande d’accès aux données issues des surveillances. Elles obtiennent via les autorités compétentes et en vertu des dispositions qui s’appliquent à ces autorités un accès aux données dont elles ont besoin pour exercer leur droit de consulter le dossier et leur droit d’accès aux données.
3 Le Service SCPT autorise certains collaborateurs des autorités mentionnées à l’art. 7, al. 2, à octroyer des accès au sein de leur autorité ainsi qu’à des personnes autorisées selon l’al. 2, pour autant que ces accès soient nécessaires à l’exécution des tâches ou pour permettre à des tiers d’exercer leurs droits.
4 Le Service SCPT concrétise l’al. 3 dans un règlement de traitement.
Art. 9 Interfaces
Le système de traitement possède des interfaces:
- a.
- pour la transmission de mandats et la réception de données et de confirmations, directement ou via le réseau de transmission connecté aux systèmes des personnes obligées de collaborer;
- b.
- pour la copie de données, selon l’art. 14, al. 1, LSCPT, dans le réseau de systèmes d’information de police de l’Office fédéral de la police et selon l’art. 14a LSCPT, dans le système d’information du Service de renseignement;
- c.
- pour l’accès aux bases de données pour la vérification de ressources d’adressage.
Section 3 Protection des données et sécurité des données
Art. 10 Mesures pour la sécurité des données
1 Le Service SCPT s’assure en particulier des points suivants par des mesures techniques et organisationnelles:
- a.
- protection des accès et contre les modifications: par une authentification sûre des personnes et des services habilités et une description détaillée de leurs droits respectifs de lecture et d’écriture;
- b.
- contrôle du transport: par une transmission sécurisée des données du système de traitement;
- c.
- contrôle des accès et des modifications: par la journalisation de tous les accès à des données et de toutes les modifications de données et par des contrôles réguliers par sondage pour détecter des irrégularités.
2 Il décide des mesures à prendre sur la base d’une analyse des risques fondée sur l’état de la technique et les normes internationales pertinentes.
3 Il édicte, à l’attention des utilisateurs du système, les instructions nécessaires à la mise en œuvre des mesures.
4 Il conserve les fichiers de journalisation pendant toute la durée de conservation des renseignements et des données issues des surveillances.
Art. 11 Mesures pour la sécurité du système
Le Service SCPT décide des mesures à prendre en cas de dérangement ou de risque de dérangement dans l’exploitation ordinaire du système de traitement. Dans la mesure du possible, il entend préalablement les autorités ayant ordonné la surveillance ou celles chargées d’analyser les données recueillies.
Art. 12 Anonymisation
Les données utilisées à des fins statistiques doivent être anonymisées avant leur publication.
Section 4 Accès aux données des surveillances par une procédure d’appel, destruction et archivage des données
Art. 13 Accès aux données des surveillances par une procédure d’appel
1 Les données des surveillances sont à la disposition des autorités par une procédure d’appel et avec l’ensemble des fonctions de traitement selon l’art. 5, au maximum:
- a.
- jusqu’à l’entrée en force de la décision qui clôt la procédure pénale concernée;
- b.
- jusqu’à six mois après la fin de l’opération du Service de renseignement de la Confédération (SRC);
- c.
- jusqu’à six mois après la fin de la recherche en cas d’urgence;
- d.
- jusqu’à six mois après la fin de la recherche d’une personne condamnée, ou
- e.
- jusqu’à l’envoi des supports de données ou documents aux autorités pour transmission à une autorité étrangère dans le cadre d’une procédure d’entraide judiciaire internationale.
2 Les données restent ensuite disponibles dans le système de traitement pendant une période prolongée, mais avec des fonctions de traitement réduites, jusqu’à la fin de la durée de conservation selon l’art. 11 LSCPT. L’autorité compétente peut demander plus tôt déjà que les données soient conservées de cette façon.
3 En cas de modifications techniques de grande ampleur apportées au système de traitement, les données sont encore à la disposition des autorités pendant une durée de six à douze mois avec l’ensemble des fonctions de traitement.
Art. 14 Destruction
1 La dernière autorité à avoir été en charge de la procédure communique au Service SCPT avant l’expiration du délai de conservation selon l’art. 11 LSCPT:
- a.
- que les données doivent être détruites, ou
- b.
- que les données doivent être mises à la disposition d’une autorité désignée par elle et effacées dans le système après avoir reçu confirmation de la réception.
2 Si l’autorité compétente n’est plus identifiable à l’expiration du délai de conservation ou ne donne aucune instruction après avoir été invitée à le faire, le Service SCPT prépare un support de données. Il adresse celui-ci à la plus haute instance judiciaire cantonale ou au Tribunal pénal fédéral. Après que l’instance en question a confirmé la réception et la lisibilité du support, le Service SCPT détruit les données dans le système. Il consigne la procédure dans un fichier de journalisation.
3 Les données issues de renseignements sont sauvegardées pendant douze mois, puis conservées avec des fonctions de traitement réduites pendant le délai de conservation de l’art. 11 LSCPT, et sont ensuite détruites.9
9 Erratum du 27 fév. 2018 (RO 2018 937).
Art. 15 Archivage
1 Les données de la Confédération à valeur archivistique destinées à être détruites sont proposées pour archivage aux Archives fédérales. Les archives sans valeur archivistique sont détruites.
2 Les données des cantons destinées à être détruites sont proposées à l’autorité cantonale compétente lorsque le droit du canton en question le prévoit. Conformément à l’art. 4, al. 2, de la loi fédérale du 26 juin 1998 sur l’archivage10, l’archivage de données des cantons est de la compétence de ceux-ci.
10 RS 152.1
Section 5 Dispositions finales
Art. 16 Disposition transitoire
1 Jusqu’à la mise en service des nouvelles composantes du système, le Service SCPT peut établir les fichiers de journalisation selon l’ancien droit.
2 Tant que les données ne sont pas conservées de manière centralisée pendant une longue période, elles sont conservées selon la pratique en vigueur. À partir du moment où, conformément à l’art. 13, l’ensemble des fonctions de traitement ne sont plus disponibles, les autorités reçoivent les données de surveillance sur un support de données ou elles peuvent les télécharger dans leur propre système.
Art. 17 Entrée en vigueur
La présente ordonnance entre en vigueur le 1er mars 2018.